Я только изучаю основы PHP и сценариев после создания сайтов с помощью HTML/CSS. Я пытаюсь создать простую форму, которая отправляется в базу данных, просто для сбора адресов электронной почты и имен. Ниже приведен основной код, который я использую. У меня есть несколько настроек в нем, но ничего серьезного. Я знаю, что мне нужно очистить эти данные, и я прочитал десятки сообщений, статей и т. д. о том, как это сделать, но я просто не понимаю, как добавить к этому функции escape_string или PHP. Я думал, что да, и я пробовал это десятками способов, но когда я проверяю, кажется, что они не имеют никакого значения. Я знаю, что это просто мое нубское невежество, но я как бы дергаю себя за волосы, поэтому любая помощь была бы отличной.
<?php
$con = mysql_connect("localhost","peter","abc123");
if (!$con)
{
die('Could not connect: ' . mysql_error());
}
mysql_select_db("my_db", $con);
$sql="INSERT INTO Persons (FirstName, LastName, Age)
VALUES
('$_POST[firstname]','$_POST[lastname]','$_POST[age]')";
if (!mysql_query($sql,$con))
{
die('Error: ' . mysql_error());
}
echo "1 record added";
mysql_close($con);
?>
@ rwhite35 так должен выглядеть конечный результат?
<?php
// sanitize a string in prep for passing a single argument to system() (or similar)
function sanitize_system_string($string, $min='', $max='')
{
$pattern = '/(;|\||`|>|<|&|^|"|'."\n|\r|'".'|{|}|[|]|\)|\()/i';
// no piping, passing possible environment variables ($),
// seperate commands, nested execution, file redirection,
// background processing, special commands (backspace, etc.), quotes
// newlines, or some other special characters
$string = preg_replace($pattern, '', $string);
//make sure this is only interpreted as ONE argument
$string = '"'.preg_replace('/\$/', '\\\$', $string).'"';
$len = strlen($string);
if((($min != '') && ($len < $min)) || (($max != '') && ($len > $max)))
return FALSE;
return $string;
}
$con = mysql_connect("localhost","root","root");
if (!$con)
{
die('Could not connect: ' . mysql_error());
}
mysql_select_db("form-try", $con);
$firstname = sanitize_system_string($_POST['firstname'],2,44);
$lastname = sanitize_system_string($_POST['lastname'],2,44);
$sql="INSERT INTO Persons (FirstName, LastName, Age)
VALUES
('$_POST[firstname]','$_POST[lastname]','$_POST[age]')";
if (!mysql_query($sql,$con))
{
die('Error: ' . mysql_error());
}
echo "1 record added";
mysql_close($con);
?>